Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os conectores de entrada configurados corretamente são uma origem fidedigna de receção de correio para o Microsoft 365 ou Office 365. No entanto, em cenários de encaminhamento complexos em que o e-mail para o seu domínio do Microsoft 365 ou Office 365 é encaminhado para outro local primeiro, a origem do conector de entrada normalmente não é o verdadeiro indicador de onde a mensagem veio. Os cenários de encaminhamento complexos incluem:
- Serviços de filtragem na cloud de terceiros
- Aplicações de filtragem geridas
- Ambientes híbridos (por exemplo, com o Exchange no local)
O encaminhamento de correio em cenários complexos tem o seguinte aspeto:
Como pode ver, a mensagem adota o IP de origem do serviço, dispositivo ou organização do Exchange no local que se encontra à frente do Microsoft 365. A mensagem chega ao Microsoft 365 com um endereço IP de origem diferente. Este comportamento não é uma limitação do Microsoft 365; é simplesmente como o SMTP funciona.
Nestes cenários, ainda pode tirar o máximo partido das proteções de e-mail predefinidas para caixas de correio na nuvem e Microsoft Defender para Office 365 ao utilizar a Filtragem Avançada para Conectores (também conhecida como ignorar listagem).
Depois de ativar a Filtragem Avançada para Conectores, o encaminhamento de correio em cenários de encaminhamento complexos tem o seguinte aspeto:
Como pode ver, a Filtragem Avançada para conectores permite preservar as informações do remetente e do endereço IP.
Nestes cenários de encaminhamento, é normalmente utilizado um selo ARC para manter as informações de origem e a integridade das mensagens com o DKIM. No entanto, o DKIM falha frequentemente porque muitos serviços que modificam a mensagem não suportam o ARC. Para ajudar nestas situações, a Filtragem Avançada para Conectores não só preserva o endereço IP do salto anterior, como também recupera de forma inteligente de falhas de assinatura do DKIM. Este comportamento ajuda as mensagens a passar a autenticação através dos filtros de inteligência spoof.
A Filtragem Avançada para Conectores tem as seguintes vantagens:
- Precisão melhorada para os modelos de machine learning e pilha de filtragem da Microsoft, que incluem:
- Foram reduzidos os falsos positivos no DMARC devido à modificação de conteúdo e à falta de um selo ARC.
- Clustering heurístico
- Anti-spoofing
- Antiphishing
- Melhores capacidades pós-falha na Investigação e resposta automatizadas (AIR)
- Capaz de utilizar a autenticação explícita de e-mail (SPF, DKIM e DMARC) para verificar a reputação do domínio de envio para representação e deteção de spoof. Para obter mais informações sobre a autenticação de e-mail explícita e implícita, consulte Email autenticação no Microsoft 365.
Para obter mais informações, consulte a secção O que acontece quando ativa a Filtragem Avançada para Conectores? mais adiante neste artigo.
Utilize os procedimentos neste artigo para ativar a Filtragem Avançada para Conectores em conectores individuais. Para obter mais informações sobre conectores no Exchange Online, consulte Configurar o fluxo de correio com conectores.
Observação
- A Filtragem Avançada para Conectores destina-se a cenários em que o registo MX do domínio não aponta para o Microsoft 365. Por exemplo:
- Ambientes híbridos em que o correio da Internet é encaminhado através do ambiente do Exchange no local antes de ser entregue no Microsoft 365. Os e-mails enviados para destinatários no local não são analisados pelo Microsoft 365.
- O correio na Internet é encaminhado através de um serviço ou dispositivo que não seja da Microsoft antes da entrega aos destinatários do Microsoft 365, conforme descrito em MX record points to third-party spam filtering.
- A Filtragem Avançada de Conectores não se destina a serviços ou dispositivos que não sejam da Microsoft que analisam o e-mail após o Microsoft 365. Assim que o Microsoft 365 analisar uma mensagem, tenha cuidado para não quebrar a cadeia de confiança ao encaminhar o correio através de qualquer servidor que não seja do Exchange que não faça parte da sua organização na nuvem ou no local. Quando a mensagem chegar eventualmente à caixa de correio de destino, os cabeçalhos do primeiro veredicto de análise poderão já não ser precisos.
- Em cenários de encaminhamento de entrada não lineares no Transporte de Correio Centralizado, a adição de servidores híbridos no local à Filtragem Avançada de Conectores não é suportada. Esta configuração pode fazer com que o Microsoft 365 analise o e-mail devolvido a partir do ambiente no local, o que adiciona um valor de cabeçalho de compauth às mensagens e pode resultar na identificação da mensagem como spam. Em cenários lineares de encaminhamento de entrada no Transporte de Correio Centralizado, é suportada a adição de servidores híbridos no local à Filtragem Avançada de Conectores.
- Exemplos de encaminhamento de entrada não linear (a adição de servidores híbridos no local à Filtragem Avançada para Conectores não é suportada):
- Internet > Microsoft 365 > No > Local Microsoft 365
- Serviço Internet > não Microsoft > Microsoft 365 > No > Local Microsoft 365
- São suportados exemplos de encaminhamento linear de entrada (é suportada a adição de servidores híbridos no local à Filtragem Avançada de Conectores):
- Internet > No Local > Microsoft 365
- Serviço internet > não Microsoft > No > local Microsoft 365
- Exemplos de encaminhamento de entrada não linear (a adição de servidores híbridos no local à Filtragem Avançada para Conectores não é suportada):
Configurar a Filtragem Avançada para Conectores
Observação
Atualmente, os endereços IPv6 são suportados apenas no PowerShell. Para utilizar o PowerShell para configurar a Filtragem Avançada para Conectores, veja a secção Utilizar o PowerShell para configurar a Filtragem Avançada para Conectores num conector de entrada mais à frente neste artigo.
Do que você precisa saber para começar?
Inclua todos os endereços IP fidedignos associados aos anfitriões no local ou aos filtros de terceiros que enviam e-mails para o Microsoft 365 ou Office 365 organização, incluindo quaisquer saltos intermédios com endereços IP públicos. Para obter estes endereços IP, consulte a documentação ou suporte fornecido com o serviço.
Se tiver regras de fluxo de correio (também conhecidas como regras de transporte) que definem a SCL como -1 para mensagens que fluem através deste conector, tem de desativar essas regras de fluxo de correio depois de ativar a Filtragem Avançada para Conectores.
Para abrir o portal Microsoft Defender, aceda a https://security.microsoft.com. Para aceder diretamente à página Filtragem Avançada para Conectores , utilize https://security.microsoft.com/skiplisting.
Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.
Para configurar a Filtragem Avançada para Conectores, tem de ser membro de um dos seguintes grupos de funções:
- Gestão da Organização ou Administrador de Segurança no portal do Microsoft Defender.
- Gestão da Organização no Exchange Online.
Utilizar o portal do Microsoft Defender para configurar a Filtragem Avançada para Conectores num conector de entrada
No portal do Microsoft Defender, aceda à secção Políticas de Colaboração Email &políticas de colaboração >& políticasde ameaças de > regras > secção Regrasfiltragem> melhorada.
Na página Filtragem Avançada para Conectores , selecione o conector de entrada que pretende configurar ao clicar no nome.
Na lista de opções de detalhes do conector que é apresentada, configure as seguintes definições:
Endereços IP a ignorar: escolha um dos seguintes valores:
Desativar a Filtragem Avançada para Conectores: desative a Filtragem Avançada para Conectores no conector.
Detetar e ignorar automaticamente o último endereço IP: recomendamos este valor se tiver de ignorar apenas a última origem da mensagem.
Ignorar estes endereços IP associados ao conector: selecione este valor para configurar uma lista de endereços IP a ignorar.
Importante
- A introdução dos endereços IP do Microsoft 365 ou Office 365 não é suportada. Não utilize esta funcionalidade para compensar os problemas introduzidos por caminhos de encaminhamento de e-mail não suportados. Tenha cuidado e limite os intervalos de IP apenas aos sistemas de e-mail que irão processar as mensagens da sua própria organização antes do Microsoft 365 ou Office 365.
- Não é suportado introduzir qualquer endereço de loopback (127.0.0.0/8) ou endereço IP privado definido por RFC 1918 (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16). A Filtragem Avançada deteta e ignora automaticamente endereços de loopback e endereços IP privados. Se o salto anterior for um servidor de e-mail por trás de um dispositivo de tradução de endereços de rede (NAT) que atribui endereços IP privados, recomendamos que configure o NAT para atribuir um endereço IP público ao servidor de e-mail.
- Atualmente, os endereços IPv6 são suportados apenas no PowerShell.
Se tiver selecionado Detetar e ignorar automaticamente o último endereço IP ou Ignorar estes endereços IP associados ao conector, será apresentada a secção Aplicar a estes utilizadores :
Aplicar a toda a organização: recomendamos este valor depois de testar a funcionalidade em alguns destinatários primeiro.
Aplicar a um pequeno conjunto de utilizadores: selecione este valor para configurar uma lista de endereços de e-mail de destinatários aos quais se aplica a Filtragem Avançada para Conectores. Recomendamos este valor como um teste inicial da funcionalidade.
Observação
- Este valor só é eficaz nos endereços de e-mail reais que especificar. Por exemplo, se um utilizador tiver cinco endereços de e-mail associados à respetiva caixa de correio (também conhecida como endereços proxy), tem de especificar os cinco endereços de e-mail aqui. Caso contrário, as mensagens enviadas para os outros quatro endereços de e-mail passarão pela filtragem normal.
- Em ambientes híbridos em que o correio de entrada flui através do Exchange no local, tem de especificar o targetAddress do objeto MailUser . Por exemplo,
michelle@contoso.mail.onmicrosoft.com. - Este valor só é eficaz nas mensagens em que todos os destinatários são especificados aqui. Se uma mensagem contiver destinatários que não estejam especificados aqui, a filtragem normal é aplicada a todos os destinatários da mensagem.
Aplicar a toda a organização: recomendamos este valor depois de testar a funcionalidade em alguns destinatários primeiro.
Quando terminar, selecione Salvar.
Utilizar o PowerShell para configurar a Filtragem Avançada para Conectores num conector de entrada
Para configurar a Filtragem Avançada para Conectores num conector de entrada, ligue-se ao Exchange Online PowerShell e utilize a seguinte sintaxe:
Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]
EFSkipLastIP: os valores válidos são:
-
$true: apenas a última origem da mensagem é ignorada. -
$false: ignore os endereços IP especificados pelo parâmetro EFSkipIPs . Se não forem especificados endereços IP, a Filtragem Avançada dos Conectores será desativada no conector de entrada. O valor padrão é$false.
-
EFSkipIPs: os endereços IPv4 ou IPv6 específicos a ignorar quando o valor do parâmetro EFSkipLastIP é
$false. Os valores válidos são:-
Um único endereço IP: por exemplo,
192.168.1.1. -
Um intervalo de endereços IP: por exemplo,
192.168.1.0-192.168.1.31. -
IP de Encaminhamento de Inter-Domain Sem Classe (CIDR): por exemplo,
192.168.1.0/25.
Veja Ignorar estes endereços IP que estão associados à descrição do conector na secção anterior para obter limitações nos endereços IP.
-
Um único endereço IP: por exemplo,
EFUsers: o endereço de e-mail separado por vírgulas dos endereços de e-mail dos destinatários aos quais pretende aplicar a Filtragem Avançada para Conectores. Veja a descrição Aplicar a um pequeno conjunto de utilizadores na secção anterior para obter limitações sobre destinatários individuais. O valor predefinido está em branco (
$null), o que significa que a Filtragem Avançada para Conectores é aplicada a todos os destinatários.
Este exemplo configura o conector de entrada com o nome Do Serviço Antiss spam com as seguintes definições:
- A Filtragem Avançada para Conectores está ativada no conector e o endereço IP da última origem da mensagem é ignorado.
- A Filtragem Avançada para Conectores aplica-se apenas aos endereços de e-mail dos destinatários
michelle@contoso.com,laura@contoso.comejulia@contoso.com.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"
Para desativar a Filtragem Avançada para Conectores, utilize o valor $false para o parâmetro EFSkipLastIP .
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-InboundConnector.
O que acontece quando ativa a Filtragem Avançada para Conectores?
A tabela seguinte descreve o aspeto das ligações antes e depois de ativar a Filtragem Avançada para Conectores:
| Recurso | Antes de a Filtragem Avançada estar ativada | Depois de ativar a Filtragem Avançada |
|---|---|---|
| autenticação de domínio Email | Implícito na utilização da tecnologia de proteção anti-spoof. | Explícito, com base nos registos SPF, DKIM e DMARC do domínio de origem no DNS. |
| X-MS-Exchange-ExternalOriginalInternetSender | Não disponível | Este cabeçalho será carimbado se a lista de ignorar tiver sido efetuada com êxito, ativada no conector e ocorrer a correspondência do destinatário. O valor deste campo contém informações sobre o endereço de origem verdadeiro. |
| X-MS-Exchange-SkipListedInternetSender | Não disponível | Este cabeçalho será carimbado se a lista de ignorar tiver sido ativada no conector, independentemente das correspondências dos destinatários. O valor deste campo contém informações sobre o endereço de origem verdadeiro. Este cabeçalho é utilizado principalmente para fins de relatório e para ajudar a compreender os cenários WhatIf. |
Pode ver as melhorias na filtragem e nos relatórios com o relatório status Proteção contra ameaças no portal do Microsoft Defender. Para obter mais informações, veja Relatório de status de proteção contra ameaças.